Meldplicht datalekken: wanneer en aan wie moet ik melden?

Op 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) op een aantal onderdelen gewijzigd. De meest besproken wijziging ziet op de invoering van de zogenaamde meldplicht bij datalekken. Daarnaast zijn de boetebevoegdheden van de Autoriteit Persoonsgegevens (voorheen: College Bescherming Persoonsgegevens) aanzienlijk uitgebreid.

Wet meldplicht datalekken

Eerder informeerden wij u al over de inwerkingtreding van de Wet meldplicht datalekken en wat dat kan betekenen voor uw bedrijf. Onderdeel van de wetswijziging is de invoering van een meldplicht bij een datalek dat leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens (of een aanzienlijke kans daarop). De melding dient te worden gedaan aan de Autoriteit Persoonsgegevens. Indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de persoon waar de gegevens betrekking op hebben, dan moet ook de betrokkene in kennis worden gesteld van het lek.

Beleidsregels Autoriteit Persoonsgegevens

Hoe beoordeelt u of u een melding moet maken? De Autoriteit heeft daarvoor Beleidsregels opgesteld. Allereerst dient u vast te stellen of zich daadwerkelijk een (relevant) beveiligingsincident heeft voorgedaan. Zijn er persoonsgegevens verloren gegaan en/of kunt u niet uitsluiten dat er gegevens onrechtmatig zijn verwerkt? Dan heeft u te maken met een datalek. Voor de vraag of u van dit datalek melding moet maken bij de Autoriteit Persoonsgegevens is allereerst van belang om wat voor soort gegevens het gaat. De Autoriteit neemt tot uitgangspunt dat indien gegevens van gevoelige aard zijn gelekt, in elk geval melding moet worden gemaakt. U kunt daarbij denken aan bijzondere persoonsgegevens zoals gegevens over iemands gezondheid of strafrechtelijk verleden, maar ook aan gegevens over inkomen en schulden. Daarnaast zijn bijvoorbeeld gebruikersnamen, wachtwoorden of gegevens die kunnen leiden tot identiteitsfraude gegevens van gevoelige aard. Verder is ook de hoeveelheid gegevens die gelekt is relevant bij het beoordelen of een meldplicht bestaat. Als het databestanden van grote omvang betreft, kunnen die immers aantrekkelijk zijn voor het criminele circuit, ook als de gegevens op zichzelf niet van gevoelige aard zijn.

Ook melden aan de betrokken personen?

In sommige gevallen moet u het datalek ook melden aan de persoon of personen op wie de gegevens betrekking hebben. Dat hoeft niet als de gegevens onbegrijpelijk of ontoegankelijk zijn voor derden die kennisnemen van de gegevens, bijvoorbeeld omdat de gegevens afdoende versleuteld zijn. Of de toegepaste technische beschermingsmaatregelen voldoende zijn, moet altijd worden beoordeeld aan de hand van de actuele stand van de techniek. Zijn de maatregelen onvoldoende of twijfelt u daaraan, dan is doorslaggevend of het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene. Dat is in elk geval, maar niet uitsluitend, zo als het persoonsgegevens van gevoelige aard – zie ook hiervoor – betreft.

Privacycheck: is uw bedrijf voorbereid?

Privacybescherming wordt steeds belangrijker gevonden in de samenleving en overtreding van de regels kan dan ook leiden tot reputatieschade, aansprakelijkstelling en/of boeteoplegging. Dat kan derhalve aanleiding zijn om te beoordelen of uw bedrijf (nog) voldoet aan de privacyregels. Welke – technische en organisatorische – maatregelen neemt u ter bescherming van die gegevens? Maar ook: wat is het protocol indien er onverhoopt een inbreuk op de beveiligingsmaatregelen plaatsvindt en weet u wanneer u moet melden? Heeft u met de bewerker afspraken gemaakt omtrent (het nakomen van) de meldplicht?

Dit artikel geeft enkele algemene aanknopingspunten bij de beantwoording van die vragen; de beleidsregels van de Autoriteit Persoonsgegevens kunnen u daarbij verder op weg helpen. Elke situatie is anders en voor het beoordelen of u een meldplicht heeft zijn de concrete omstandigheden doorslaggevend. Heeft u vragen over privacy compliance, dan kunt u altijd vrijblijvend contact opnemen met onze sectie Privacyrecht.